BSI-Forum

Das BSI auf der CeBIT 2002

Das Bundesamt für Sicherheit in der Informationstechnik wird auf der Fachmesse CeBIT (13.–20. März 2002) mehrfach Präsenz zeigen: Der Messestand des BSI befindet sich in der Halle 17, Stand C 02. Überdies ist das BSI sowohl auf den Sonderflächen ENAC und Job-Market als auch mit dem bekannten Vortragsprogramm im Convention Center vertreten.

Im Rahmen des Europäischen Anwenderzentrums für Kommune, Staat und Wirtschaft (ENAC, s. a. www.enacworld.com) informiert das BSI in Halle 11 D EG auf den Präsentationsplätzen 65–67 über:

Sicherheit im Internet
Pilotprojekt "Digitaler Dienstausweis"
Sicheres E-Government

Gemeinsam mit dem Bundesverwaltungsamt, dem Statistischen Bundesamt und dem Bundeskriminalamt informiert das BSI auf dem CeBIT-Job-Market in Halle 10 2. OG, Stand 229 über den aktuellen Stellenbedarf, insbesondere für IT-Fachkräfte.

----------Anfang Textkasten----------

CD-ROM zur IT-Sicherheit für den Bürger konzipiert

Das Bundesamt für Sicherheit in der Informationstechnik bietet erstmals zur CeBIT 2002 eine CD für Internetler an. Es gilt, Selbst-Sicherheit und Selbst-Vertrauen bei den Anwendern und IT-Sicherheit auf den privaten Computern zu schaffen. Mit der CD macht es sich das BSI zur Aufgabe, die Risiken des Internets in einer für Laien verständlichen Form darzustellen und Hinweise zum Schutz vor Gefährdungen zu geben. Trotz aller Arbeiten auf behördlicher Ebene, trotz berechtigter Forderungen an Netzbetreiber und an Hersteller von Software gilt: Sicherheit im Internet beginnt zu Hause. Das Verhalten der Anwender am Computer hat große Auswirkungen auf die Abwehr von Risiken aus dem Internet.

Die illustrierten Texte der CD informieren über eine Vielzahl von Themen und bieten zahlreiche Möglichkeiten den Computer zu Hause zu schützen. Die Themenvielfalt reicht vom IT-Grundschutz eines Internet-PC, über Datensicherung und führt hin zur Notwendigkeit der Verschlüsselung von persönlichen Informationen. Die derzeit häufig genannten Plagen "Viren, Würmer und Trojaner" werden vorgestellt. Gegen Spione und Saboteure wirkt eine sichere Konfiguration von Browsern. Mit Web-Filtern und Firewalls kann der Anwender sich, seine Familie und vor allem seine Kinder vor unerwünschten Internet-Inhalten schützen. Im technikbasierten Teil der CD finden sich kostenlose Tools zum Schutz vor Viren, zur Verschlüsselung und zum Filtern von Web-Angeboten.

Einen besonderen Anreiz bietet die CD mit einem Rätsel, das in den Textbeiträgen und Illustrationen verwoben ist. Nur diejenigen Personen, die den Inhalt der CD durcharbeiten, finden die Lösung, die attraktive Gewinne ermöglicht.

----------Ende Textkasten----------

Zudem finden an fünf Messewerktagen Vortragsveranstaltungen zu aktuellen Themen der IT-Sicherheit im Convention Center statt. Der Eintritt zu diesen Veranstaltungen ist frei, Voranmeldungen können nicht angenommen werden.

IT-Sicherheitszertifizierung und Schutzprofile auf Basis der Common Criteria (ISO/IEC 15408)
Donnerstag, 14. März 2002, 12.00–14.00 Uhr
Convention Center (CC), Saal 11
Irmela Ruhrmann, Dr. Markus Mackenbrock

Die "Common Criteria/Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (CC)" wurden im Bundesanzeiger im September 2000 offiziell bekannt gemacht und sind damit Grundlage für die IT-Sicherheitszertifizierung von Produkten und Systemen sowie von Schutzprofilen.

Die Zertifizierung nach den CC gewinnt in Deutschland und international immer mehr an Bedeutung. Aktuelle Anwendungsgebiete der Zertifizierung sind Smartcards und biometrische Systeme. Mit den CC können die Sicherheitseigenschaften praktisch aller informationstechnischen Produkte und Systeme geprüft werden. Da Deutschland im Mai 2000 das Abkommen über die gegenseitige Anerkennung zwischen insgesamt 14 nationalen Behörden weltweit unterzeichnet hat, ist das Ziel einer auf Basis einheitlicher Kriterien durchgeführten, international gültigen Zertifizierung von IT-Produkten und -Systemen erreicht. Dies spiegelt sich wider in den jährlich stattfindenden internationalen Konferenzen zum Thema Common Criteria (3. Internationale CC-Konferenz, 13.–14. Mai 2002 in Ottawa/Kanada).

Immer mehr Interesse findet die Entwicklung von Schutzprofilen (Protection Profiles) auf Basis der CC. Mit Schutzprofilen kann ein Anwender oder eine Anwenderorganisation Sicherheitsanforderungen an eine Kategorie von IT-Produkten und -Systemen spezifizieren und so Herstellern Produktvorgaben als Entwicklungsgrundlage bereitstellen. Ebenso kann eine Herstellervereinigung das Modell der Schutzprofile nutzen, um damit die eigene Marktposition auch im internationalen Umfeld zu stärken.

Interessante Schutzprofilentwicklungen mit internationaler Bedeutung gibt es im Bereich Smartcards sowie auch im Bereich Biometrie, Betriebssysteme, Firewalls und Datenbanken. Diese Schutzprofile sind entweder beim BSI oder bei den entsprechenden Partnerbehörden registriert und stehen auf den Webseiten zur Verfügung.

CERT-Bund: Informationen sammeln, Wissen vermitteln Kompetenzfaktoren Internet-Sicherheit Kritische Infrastrukturen im Zeitalter der Informationstechnik
Freitag, 15. März 2002, 12.30-14.00 Uhr
Convention Center (CC), Saal 13/14
Günther Ennen, Dr. Heinz Willebrand, Marit Blattner-Zimmermann

Die wiederholten Angriffe auf IT-Netze und Endsysteme haben die Notwendigkeit zur Einrichtung einer zentralen Anlaufstelle zur Lösung von Problemen der Rechner- und Netzwerksicherheit für den Bereich des Bundes verdeutlicht. Der Name des Referates "CERT-Bund" ist Programm. Computer Emergency Response Teams (CERTs) arbeiten sowohl präventiv als auch reaktiv: Vorbeugend beantworten sie Anfragen zu Themen der IT-Sicherheit, warnen vor Schwachstellen in Produkten und informieren über sicherheitsrelevante Ereignisse. Im Fall eines Schadens helfen sie, einen schnellen Wiederanlauf der Systeme sicherzustellen.

Dem Warn- und Informationsdienst (WID) von CERT-Bund kommt eine besondere Bedeutung zu, dies hat sowohl wirtschaftliche als auch gesellschaftliche und politische Gründe. Aufwand und Kosten für Sicherheit im Internet können erheblich reduziert werden, wenn qualifizierte Informationen frühzeitig vorliegen und ausschließlich auf qualifizierte Warnungen angemessen reagiert wird. Informationen und Warnungen über den WID aus CERT-Bund sind qualitätsgesichert. Diese Qualität beruht auf einer fachkompetenten Analyse und Bewertung von Informationen, aus eigener Recherche und aus externen Quellen, zum Beispiel der Meldung von Herstellern oder Anwendern. Der Vortrag beschreibt den Prozess "Informationen sammeln, Wissen vermitteln".

Denial-of-service-Attacken, Computer-Viren, Hacker und vieles andere mehr bedrohen immer wieder die Angebote von Dienstleistern und Dienstleistungen im Internet. Schäden, die dabei entstehen, führen nicht nur beim "normalen" Internet-Benutzer, sondern auch bei den Anbietern von E-Commerce, E-Government und sonstigen Diensten zu erheblichen Kosten, Verunsicherung und Misstrauen. Deshalb sollten Anbieter von Informationen einen eigenen Beitrag zur Sicherheit ihrer Angebote im Internet leisten. Dazu reicht das einfache Aufstellen einer Firewall nicht aus: Es müssen neben einem aktuellen Sicherheitskonzept auch die Sicherheitsmaßnahmen in regelmäßigen Abständen auf ihre Aktualität und Wirksamkeit hin überprüft werden. Eine Möglichkeit dieser Überprüfung ist das Hinzuziehen von Beratungsunternehmen, die das Internet-Angebot des Anbieters kritisch durchleuchten. Doch wie erkennt man, dass ein Anbieter die Untersuchung auch seriös und kompetent durchführt? Die Erfahrungen in der Vergangenheit zeigen, dass Handreichungen, wie Vertrauen in die Internet-Technik geschaffen werden kann, immer wieder gewünscht werden. Im Rahmen dieses Vortrags wird ein Lösungsvorschlag für Entscheidungskriterien zur Auswahl geeigneter Anbieter vorgestellt.

Auf dem Weg in das Informationszeitalter gerät die Gesellschaft zunehmend in neue Abhängigkeiten. Teilweise werden diese weder erkannt noch beachtet. Immer mehr Bereiche sind vermutlich nur noch arbeitsfähig, wenn Informations- und Kommunikationstechnik sicher und zuverlässig funktionieren. Der Schutz kritischer Infrastrukturen, also lebenswichtiger Bereiche, ist angesichts von neuen Bedrohungen und Risiken eine Aufgabe, die Wirtschaft und Staat gemeinsam angehen müssen. Im Vortrag werden die aktuellen Risiken für kritische Infrastrukturen dargestellt. Die laufenden, aber auch die geplanten Maßnahmen zur Verbesserung des Schutzes werden detailliert erläutert.

Public Key Infrastrukturen, Einführung sicherer E-Mail
Montag, 18. März, 12.00–14.00 Uhr
Convention Center (CC), Saal 11
Olaf Erber, Willi Fell

Eine E-Mail ist im Internet so offen wie eine Postkarte im klassischen Postverkehr. Ebenso ist keine Fälschungssicherheit gewährleistet. Mit der Forcierung des E-Government in den Verwaltungen des Bundes, der Länder und Kommunen sowie der Fortentwicklung des E-Commerce bedarf es zwingend einer vertraulichen und manipulationssicheren Kommunikation in der Dreiecksbeziehung Verwaltung/Wirtschaft/Bürger. Nur der Einsatz starker kryptographischer Verfahren kann den Daten- und Konsumentenschutz gewährleisten und das Vertrauen in die Sicherheit des Internets stärken. Zentrale Elemente einer Public Key Infrastruktur für den Austausch sicherer E-Mails sind

Mehrere Initiativen in Verwaltung und Wirtschaft verfolgen das Ziel, eine nationale Public Key Infrastruktur (PKI) in Deutschland aufzubauen:

Durch die Synergieeffekte dieser Initiativen ist nicht nur die Interoperabilität zwischen Verwaltungen und Wirtschaftsunternehmen, sondern über die beteiligten Trust Center auch zu den Bürgern hergestellt. In der weiteren Perspektive ist eine flächendeckende PKI in Deutschland nur in einer gemeinsamen Anstrengung von Wirtschaft und Verwaltung zu erreichen. Eine nationale PKI schafft aber eine der entscheidenden Grundlagen für die IT-Sicherheit des E-Commerce und des E-Governments.

E-Government: Aber sicher!
IT-Grundschutz-Zertifizierung als Messlatte
Dienstag, 19. März 2002, 12.00–14.00 Uhr
Convention Center (CC), Saal 13/14
Kurt Klinner, Isabel Münch

Der Erfolg und die Akzeptanz der im Rahmen der Initiative BundOnline 2005 zu entwickelnden E-Government-Anwendungen wird entscheidend vom Vertrauen der Bürger in deren Sicherheit abhängen. Für den Anbieter von E-Government-Diensten, die öffentliche Verwaltung, eröffnen sich seinerseits neue sicherheitstechnische Herausforderungen, da bislang abgeschottete IT-Systeme nun eine Anbindung an das Internet erhalten. Datenschutzrechtlich sensitive Informationen sollen in Zukunft mittels dieses höchst unsicheren Mediums übertragen werden, welches seiner ursprünglichen Konzeption gemäß gerade nicht für den Transport vertraulicher Daten bestimmt war.

Um den Behörden, die in Zukunft E-Government-Dienste anbieten werden, einen Leitfaden an die Hand zu geben, wie ein solcher Service sicher und für den Bürger vertrauenswürdig zu implementieren ist, entwickelt das BSI derzeit das E-Government-Handbuch. Die ersten Module dieses Werkes, das im übrigen ebenso wie das IT-Grundschutzhandbuch des BSI ständig fortgeschrieben und auf dem aktuellsten Stand gehalten wird, stehen auf der Homepage des BSI (www.bsi.bund.de) unter dem Themenschwerpunkt "Sicheres E-Government" zum Download bereit. Außer für die technischen Aspekte einer sicheren Kommunikation über das Internet, wie Verschlüsselungs- und Authentifizierungsverfahren, Firewalls und so weiter, formuliert das Handbuch insbesondere auch die Leitlinien für den organisatorischen Aufbau einer sicheren E-Government-Infrastruktur.

Die im E-Government-Handbuch beschriebenen Maßnahmen sind jedoch nicht isoliert zu sehen, sondern bilden eine den spezifischen Aufgaben der BundOnline-2005-Initiative angepasste Ergänzung zu den Sicherheitsmodulen des IT-Grundschutz-Handbuches. Eine Voraussetzung für die erfolgreiche Implementierung von E-Government- wie auch E-Business-Projekten ist ein ausreichendes Sicherheitsniveau. Das IT-Grundschutzhandbuch stellt hierzu eine einfache Methode vor, wie die dem Stand der Technik entsprechenden IT-Sicherheitsmaßnahmen identifiziert und umgesetzt werden können.

Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen, hat das BSI eine Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann. Angeboten werden drei unterschiedliche Ausprägungen der Qualifizierung nach IT-Grundschutz:

Elektronische Signaturen, biometrische Authentisierungsverfahren und ihr Zusammenwirken
Mittwoch, 20. März 2002, 12.00–14.00 Uhr
Convention Center (CC), Saal 13/14
Thomas Gast

Die frühzeitige Erkennung und Erprobung neuartiger Technologien bilden die Grundlage für erfolgreiche Implementierungsentscheidungen. Als Beispiel innovativer Sicherheitstechnik werden im Rahmen dieser Veranstaltung biometrische Verfahren, elektronische Signaturen und ihr Zusammenwirken kritisch diskutiert. Die juristischen Vorgaben bezüglich dem Einsatz elektronischer Signaturen werden anhand der übergeordneten EU-Richtlinie und der europaweiten Umsetzung in nationale Gesetze und deren technische und infrastrukturelle Umsetzung vorgestellt.

Abgeleitet aus den Anforderungen der EU-Richtlinie setzt das deutsche Signaturgesetz für den Einsatz "qualifizierter elektronischer Signaturen" die Implementierung einer PKI voraus. Es wird analysiert, wie der Einsatz biometrischer Verfahren als Authentisierungsmechanismus mit elektronischen Signaturverfahren und der zugehörigen PKI-Philosophie harmonisiert. Die deutsche Signaturverordnung fordert eine Evaluierung der technischen Signaturerstellungseinheiten nach den IT-Sicherheitskriterien ISO/IEC 15408 (CC). Signaturerstellungseinheiten werden momentan weitestgehend unter Einsatz von Chipkarten realisiert. Für derartige Produktfamilien Chipkarten bieten die CC als evaluierungsunterstützende Maßnahme die Bereitstellung einheitlicher familienspezifischer Sicherheitsvorgaben in Form von Protection Profiles, die produktunabhängig spezifiziert sind. Ein Erfahrungsbericht erläutert die Vorgehensweise, Probleme und Vorteile bei der Nutzung dieser evaluierungsvorbereitenden Technologie.

Im Detail gliedert sich dieser Vortrag wie folgt:

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/1, Seite 65